Exchange patchen, makkelijker gezegd dan gedaan

Gerichte golf, gevolgd door grote golf

Eerst zijn de Exchange-gaten gericht misbruikt door staatshackers die volgens Microsoft namens China opereren. En toen zijn de kritieke kwetsbaarheden algemeen misbruikt door aanvallers die Exchange-gebruikende organisaties links en rechts hacken. De noodklok wordt geluid, want niet alleen zijn de gaten kritiek en de aanvallen lopende. Ook blijkt dat vele duizenden Exchange-installaties nog niet gepatcht zijn.

Daar wordt wel aan gewerkt, maar in bepaalde gevallen moeten wat hordes worden genomen. Zo duiken de uitgebrachte patches niet voor iedereen op bij controle op updates. Een melding dat een systeem uptodate is, klopt dan dus niet. De aanvankelijk uitgebrachte patches zijn ook niet voor iedereen gelijk te gebruiken. Microsoft biedt daarvoor inmiddels wat hulp.

Vlak vóór Patch Tuesday

De noodpatches voor Exchange zijn slechts enkele dagen vóór de reguliere Patch Tuesday van maart uitgebracht. De ernst van de te fixen kwetsbaarheden is dermate groot dat wachten op de geplande patchronde van maart geen optie was. Bovendien was er al sinds januari sprake van hackaanvallen via deze gaten in de veelgebruikte mail- en agendaserversoftware.

Weliswaar waren die eerste aanvallen ‘slechts’ gerichte acties, van statelijke actoren die specifieke doelen voor ogen hadden. Maar daarna is het dus los gegaan, en liep elke Exchange-gebruikende organisatie gevaar. Niet slechts een theoretisch gevaar, maar een concreet praktisch gevaar doordat er proof-of-concept (PoC) code is opgedoken.

Snel exploitcode

In de eerste twee dagen na de patch-releases was dat er nog niet, maar een nachtje later wel. Met zulke exploitsoftware valt aan te tonen dat een kwetsbaarheid inderdaad valt te misbruiken. Securityprofessionals en beheerders kunnen op basis van PoC-code de aard en impact inschatten van bugs, beschermende maatregelen daartegen en fixes daarvoor. Daarnaast kunnen securityleveranciers PoC-code benutten om bescherming te bieden aan hun klanten, en bepaalde beperkende maatregelen (mitigations) te formuleren.

Maar natuurlijk kunnen kwaadwillenden op basis van PoC-code hun hackactiviteiten uitvoeren én uitbreiden. Na het eerste opduiken - en ook offline halen - van PoC-code is het snel gegaan. Exploitcode is gekopieerd, gefixt en verfijnd, aangevuld en vervolgens hebben andere onderzoekers hun zelfontwikkelde PoC-code ook uitgebracht. Met de nieuwste releases zijn de grote gaten in Exchange binnen het bereik gekomen van technisch minder geavanceerde aanvallers: zogeheten scriptkiddies.

? Hafnium Exchange RCE Exploit ? I've confirmed there is a public PoC floating around for the full RCE exploit chain. It's has a couple bugs but with some fixes I was able to get shell on my test box. — MalwareTech (@MalwareTechBlog) March 10, 2021

Snelle beheerders die gelijk zijn aangeslagen op de noodpatches van begin maart kunnen zich beschermen tegen de aanvalsgolven en uitkomende PoC-code. Maar niet elke organisatie is even snel én niet elke Exchange-installatie valt gelijk te patchen. De remmende factor hierbij is niet alleen traagheid qua installatie van de nu beschikbare noodpatches. En ook hoeft het niet te liggen aan weerstand tegen mogelijke verstoring van bedrijfsactiviteiten, door een spoedoperatie nu aan het kloppende Exchange-hart van de organisatie.

Wel eerst up-to-date zijn

De initiële noodpatches hadden namelijk een belangrijke systeemvereiste. En dat was niet slechts het draaien van een officieel ondersteunde versie van Exchange Server. Zo’n ondersteunde versie moest ook wel helemaal ‘bij’ zijn qua reguliere updates. De noodpatches waren namelijk alleen van toepassing op installaties die helemaal up-to-date zijn. Dat betekende: Exchange-servers met daarop al geïnstalleerd de meest recent óf op één na meest recente Cumulative Update (CU).

Alleen díe systemen konden de noodpatches geïnstalleerd krijgen. Beheerders moesten dus eerst controleren op welk build-nummer hun Exchange-omgevingen zitten. Oudere, qua CU’s achterlopende Exchange-systemen moesten dan worden bijgewerkt met de meest recente CU’s om daarna pas de noodpatches te kunnen krijgen.

“Als je servers een oudere Exchange Server cumulatieve of rollup update draaien, raden we aan om een huidig ondersteunde RU/CU [rollup update en cumulative update - red.] te installeren voordat je de security-updates installeert”, gaf Microsoft ronduit aan in het bulletin van 2 maart. De leverancier van Exchange heeft in de dagen daarna nog ‘vervolgpatches’ uitgebracht, om gaandeweg steeds verder terug te gaan qua CU’s.

Terug in het Exchange-verleden

Zo zijn de (nood)patches op 8 maart uitgebracht voor Exchange 2019 met CU4, 5 en 6, plus Exchange 2016 met CU14, 15 en 16. Dit omvatten van oudere CU’s is op 10 maart verder uitgebreid met CU3 voor Exchange 2019, CU12, 13 en 17 voor Exchange 2016, en CU21 en 22 voor het nóg oudere Exchange 2013. Daar is op 11 maart nog de CU1 en 2 plus de RTM-versie (release-to-manufacturing) van Exchange 2019 aan toegevoegd, naast CU8, 9, 10 en 11 voor Exchange 2016.

Daarmee konden meer beheerders hun mail- en agendaservers van bescherming voorzien, zónder ingrijpende CU-installatie vooraf. Elke CU is een volledige installatie van Exchange, meldt Microsoft in zijn documentatie over deze updates die elk kwartaal uitkomen. Uit dat brede bereik ‘terug’, bijvoorbeeld tot aan de oorspronkelijke release van Exchange 2019 valt een belangrijke beheerconclusie te trekken.

Namelijk dat ook klanten die bij zijn qua grote versies van deze Microsoft-serverssoftware niet altijd bij blijven met de daarna komende updates. Dit staat dan nog naast klanten die acterlopen qua grote versies, want Microsoft heeft bij de eerste lading noodpatches zelfs de oude Exchange-versie 2010 meegenomen. Officieel wordt die sinds oktober vorig jaar niet meer ondersteund, na eerst nog uitstel van executie.

Cyberspionage, ransomware, cryptominers

Ondertussen lopen alle genoemde Exchange-versies, met tussenliggende CU-niveaus, gevaar. Niet alleen van cyberspionage door doelgerichte Chinese staatshackers. Ook non-statelijke aanvallers zijn op de vergaande mogelijkheden van deze kwetsbaarheden gesprongen, waaronder naast professionele inbrekers ook geldbeluste afpersers en mogelijk ook scriptkiddies.

Microsoft wist bij het uitbrengen van de noodpatches te melden dat er op 1 maart wereldwijd zo’n 400.000 Exchange-servers zijn, die toen dus allemaal kwetsbaar waren. Tegen 9 maart waren iets meer 100.000 stuks nog kwetsbaar. Afgelopen vrijdag, 12 maart, was dat kwetsbare aantal gedaald naar zo’n 82.000 stuks.

Daar duikt nu ook gloednieuwe ransomware op, wist Microsoft afgelopen donderdag te waarschuwen. Deze verse bedreiging heeft de naam DearCry gekregen, wat een omineus teken kan zijn. De naam vormt een verwijzing naar de Windows-ransomware WannaCry die wereldwijd voor grote schade heeft gezorgd. Een dag na de waarschuwing voor DearCry is er nog een dreiging bijgekomen. De cybercriminelen achter het LemonDuck-botnet voor het winnen van virtuele valuta richten zich ook op kwetsbare Exchange-servers.

We have detected and are now blocking a new family of ransomware being used after an initial compromise of unpatched on-premises Exchange Servers. Microsoft protects against this threat known as Ransom:Win32/DoejoCrypt.A, and also as DearCry. — Microsoft Security Intelligence (@MsftSecIntel) March 12, 2021